|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作�,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機�����、存儲資源����、數(shù)據(jù)資源、信息資源����、知識資源、專家資源、大型數(shù)據(jù)庫�、網(wǎng)絡(luò)、傳感器等����。 當前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段����。 一.嗅探器的基礎(chǔ)知識
1.1 什么是嗅探器���?
嗅探器的英文寫法是Sniff���,可以理解為一個安裝在計算機上的竊聽設(shè)備它可以用來竊聽計算機在網(wǎng)絡(luò)上所產(chǎn)生的眾多的信息。簡單一點解釋:一部電話的竊聽裝置, 可以用來竊聽雙方通話的內(nèi)容��,而計算機網(wǎng)絡(luò)嗅探器則可以竊聽計算機程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)��。
可是�����,計算機直接所傳送的數(shù)據(jù)����,事實上是大量的二進制數(shù)據(jù)。因此, 一個網(wǎng)絡(luò)竊聽程序必須也使用特定的網(wǎng)絡(luò)協(xié)議來分解嗅探到的數(shù)據(jù)��, 嗅探器也就必須能夠識別出那個協(xié)議對應(yīng)于這個數(shù)據(jù)片斷���,只有這樣才能夠進行正確的解碼。
計算機的嗅探器比起電話竊聽器����,有他獨特的優(yōu)勢: 很多的計算機網(wǎng)絡(luò)采用的是“共享媒體"。 也就是說�,你不必中斷他的通訊,并且配置特別的線路�,再安裝嗅探器,你幾乎可以在任何連接著的網(wǎng)絡(luò)上直接竊聽到你同一掩碼范圍內(nèi)的計算機網(wǎng)絡(luò)數(shù)據(jù)���。我們稱這種竊聽方式為“基于混雜模式的嗅探”(promiscuous mode) �。 盡管如此����,這種“共享” 的技術(shù)發(fā)展的很快,慢慢轉(zhuǎn)向“交換” 技術(shù)�����,這種技術(shù)會長期內(nèi)會繼續(xù)使用下去����, 它可以實現(xiàn)有目的選擇的收發(fā)數(shù)據(jù)。
1.2嗅探器是如何工作的
1.2.1如何竊聽網(wǎng)絡(luò)上的信息
剛才說了����,以太網(wǎng)的數(shù)據(jù)傳輸是基于“共享”原理的:所有的同一本地網(wǎng)范圍內(nèi)的計算機共同接收到相同的數(shù)據(jù)包。這意味著計算機直接的通訊都是透明可見的�����。
正是因為這樣的原因�,以太網(wǎng)卡都構(gòu)造了硬件的“過濾器”這個過濾器將忽略掉一切和自己無關(guān)的網(wǎng)絡(luò)信息。事實上是忽略掉了與自身MAC地址不符合的信息�。
嗅探程序正是利用了這個特點,它主動的關(guān)閉了這個嗅探器���,也就是前面提到的設(shè)置網(wǎng)卡“混雜模式”�。因此��,嗅探程序就能夠接收到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)了信息了����。
1.2.2什么是以太網(wǎng)的MAC地址
MAC:Media Access Control.
由于大量的計算機在以太網(wǎng)內(nèi)“共享“數(shù)據(jù)流,所以必須有一個統(tǒng)一的辦法用來區(qū)分傳遞給不同計算機的數(shù)據(jù)流的�。這種問題不會發(fā)生在撥號用戶身上,因為計算機會假定一切數(shù)據(jù)都由你發(fā)動給modem然后通過電話線傳送出去����。可是�����,當你發(fā)送數(shù)據(jù)到以太網(wǎng)上的時候�����,你必須弄清楚��,哪臺計算機是你發(fā)送數(shù)據(jù)的對象�。的確�����,現(xiàn)在有大量的雙向通訊程序出現(xiàn)了,看上去�,他們好像只會在兩臺機器內(nèi)交換信息,可是你要明白��,以太網(wǎng)的信息是共享的�,其他用戶�,其實一樣接收到了你發(fā)送的數(shù)據(jù),只不過是被過濾器給忽略掉了�。
MAC地址是由一組6個16進制數(shù)組成的,它存在于每一塊以太網(wǎng)卡中�。后面的章節(jié)將告訴你如何查看自己計算機的MAC地址。
如果你對網(wǎng)絡(luò)結(jié)構(gòu)不太熟悉�,建議參考一下OSI 7-Layer Model,這將有助于你理解后面的東西以太網(wǎng)所使用的協(xié)議主要是TCP/IP����,并且TCP/IP也用于其他的網(wǎng)絡(luò)模型(比如撥號用戶,他們并不是處于一個以太網(wǎng)環(huán)境中)。舉例一下�,很多的小團體計算機用戶都為實現(xiàn)文件和打印共享,安裝了“NetBEUI” 因為它不是基于TCP/IP協(xié)議的���, 所以來自于網(wǎng)絡(luò)的黑客一樣無法得知他們的設(shè)備情況��。
基于Raw協(xié)議����,傳輸和接收都在以太網(wǎng)里起著支配作用。你不能直接發(fā)送一個Raw數(shù)據(jù)給以太網(wǎng)��,你必須先做一些事情���,讓以太網(wǎng)能夠理解你的意思�。這有點類似于郵寄信件的方法���,你不可能直接把一封信投遞出去,你必須先裝信封�,寫地址,貼郵票����,網(wǎng)絡(luò)上的傳輸也是這樣的�。
下面給出一個簡單的圖示,有助于你理解數(shù)據(jù)傳送的原理:
_________
/.........\
/..Internet.\
+-----+ +----+.............+-----+
|UserA|-----|路由|.............|UserB|
+-----+ ^ +----+.............+-----+
| \.........../
| \---------/
+------+
|嗅探器|
+------+
UserA IP 地址: 10.0.0.23
UserB IP 地址: 192.168.100.54
現(xiàn)在知道UserA要于UserB進行計算機通訊���,UserA需要為10.0.0.23到192.168.100.54的通訊建立一個IP包
這個IP包在網(wǎng)絡(luò)上傳輸���,它必須能夠穿透路由器�����。因此�����, UserA必須首先提交這個包給路由器��。由每個路由器考查目地IP地址然后決定傳送路徑��。
UserA 所知道的只是本地與路由的連接����,和UserB的IP地址�����。UserA并不清楚網(wǎng)絡(luò)的結(jié)構(gòu)情況和路由走向�����。
UserA必須告訴路由預(yù)備發(fā)送的數(shù)據(jù)包的情況�����,以太網(wǎng)數(shù)據(jù)傳輸結(jié)構(gòu)大概是這樣的:
+--+--+--+--+--+--+
| 目標 MAC |
+--+--+--+--+--+--+
| 源 MAC |
+--+--+--+--+--+--+
|08 00|
+--+--+-----------+
| |
. .
. IP 包 .
. .
| |
+--+--+--+--+-----+
| CRC校驗 |
+--+--+--+--+
理解一下這個結(jié)構(gòu)�����,UserA的計算機建立了一個包假設(shè)它由100個字節(jié)的長度(我們假設(shè)一下����,20 個字節(jié)是IP信息��,20個字節(jié)是TCP信息�����,還有60個字節(jié)為傳送的數(shù)據(jù))��,F(xiàn)在把這個包發(fā)給以太網(wǎng),放14個字節(jié)在目地MAC地址之前���,源MAC地址,還要置一個0x0800的標記�����,他指示出了TCP/IP棧后的數(shù)據(jù)結(jié)構(gòu)�。同時,也附加了4個字節(jié)用于做CRC校驗 (CRC校驗用來檢查傳輸數(shù)據(jù)的正確性)�����。
現(xiàn)在發(fā)送數(shù)據(jù)到網(wǎng)絡(luò)�����。
所有在網(wǎng)內(nèi)的計算機通過適配器都能夠發(fā)現(xiàn)這個數(shù)據(jù)片�����,其中也包括路由適配器���,嗅探器和其他一些機器。通常�,適配器都具有一塊芯片用來做結(jié)構(gòu)比較的,檢查結(jié)構(gòu)中的目地MAC地址和自己的MAC地址����,如果不相同,則適配器會丟棄這個結(jié)構(gòu)。這個操作會由硬件來完成����,所以,對于計算機內(nèi)的程序來說�,整個過程時毫無察覺的。
當路由器的以太網(wǎng)適配器發(fā)現(xiàn)這個結(jié)構(gòu)后����,它會讀取網(wǎng)絡(luò)信息,并且去掉前14個字節(jié)���,跟蹤4個字節(jié)�。查找0x8000標記�����,然后對這個結(jié)構(gòu)進行處理(它將根據(jù)網(wǎng)絡(luò)狀況推測出下一個最快路由節(jié)點�����,從而最快傳送數(shù)據(jù)到預(yù)定的目標地址)��。
設(shè)想���,只有路由機器能夠檢查這個結(jié)構(gòu)��,并且所有其他的機器都忽略這個 結(jié)構(gòu),則嗅探器無論如何也無法檢測到這個結(jié)構(gòu)的�����。
[page_break]1.3.1 MAC地址的格式是什么����?
以太網(wǎng)卡的MAC地址是一組48比特的數(shù)字,這48比特分為兩個部分組成�����,前面的24比特用于表示以太網(wǎng)卡的寄主��,后面的24比特是一組序列號�����,是由寄主進行支派的��。這樣可以擔(dān)保沒有任何兩塊網(wǎng)卡的MAC地址是相同的(當然可以通過特殊的方法實現(xiàn))�����。如果出現(xiàn)相同的地址����,將發(fā)生問題,所有這一點是非常重要的����。這24比特被稱之為OUI(Organizationally Unique Identifier)。
可是���,OUI的真實長度只有22比特,還有兩個比特用于其他:一個比特用來校驗是否是廣播或者多播地址��,另一個比特用來分配本地執(zhí)行地址(一些網(wǎng)絡(luò)允許管理員針對具體情況再分配MAC地址)�����。
舉個例子����,你的MAC地址在網(wǎng)絡(luò)中表示為 03 00 00 00 00 01 。第一個字節(jié)所包含的值二進制表示方法為00000011��。 可以看到,最后兩個比特都被置為真值���。他指定了一個多播模式���,向所有的計算機進行廣播,使用了“NetBEUI”協(xié)議(一般的����,在Windows計算機的網(wǎng)絡(luò)中�����,文件共享傳輸?shù)仁遣皇褂肨CP/IP協(xié)議的)�。.
1.3.2 我如何得到自己計算機的MAC地址�����?
Win9x
Win9x自帶的這個程序?qū)⒏嬖V你答案:“winipcfg.exe”
WinNT
在命令行的狀態(tài)下運行這個命令:"ipconfig /all"
它會顯示出你的MAC網(wǎng)卡地址�����,下面是一個例子:
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : bigball
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地連接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Legend/D-Link DFE-530TX PCI Fast Eth
ernet Adapter (Rev B)
Physical Address. . . . . . . . . : 00-50-BA-25-5D-E8
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.10.254
Subnet Mask . . . . . . . . . . . : 255.255.128.0
Default Gateway . . . . . . . . . : 192.168.10.3
Ethernet adapter SC12001:
Description . . . . . . . . : DEC DC21140 PCI Fast Ethernet
Linux
運行“ifconfig”����。結(jié)果如下:
eth0 Link encap:Ethernet HWaddr 08:00:17:0A:36:3E
inet addr:192.0.2.161 Bcast:192.0.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1137249 errors:0 dropped:0 overruns:0
TX packets:994976 errors:0 dropped:0 overruns:0
Interrupt:5 Base address:0x300
Solaris
用 “arp” 或者 “netstat –p” 命令
1.3.3我如何才能知道有那些計算機和我的MAC地址直接關(guān)聯(lián)?
對于WinNT和Unix機器�,可以直接使用“arp –a”查看。
1.3.4我能夠改變我的MAC地址嗎�����?
可以����。簡單的說一下:
第一種方法,你要做地址欺騙�����,因為MAC地址是數(shù)據(jù)包結(jié)構(gòu)的一部分��, 因此�,當你向以太網(wǎng)發(fā)送一個數(shù)據(jù)包的時候�����,你可以覆蓋源始的MAC信息����。
第二種方法,很多網(wǎng)卡允許在一定的時間內(nèi)修改內(nèi)部的MAC地址����。
第的三種方法��, 你可以通過重新燒錄EEPROM來實現(xiàn)MAC地址的修改��。但是這種方法要求你必須有特定的硬件設(shè)備和適用的芯片才能修改��,而且這種方法將永遠的修改你的MAC地址�����。
二.反嗅探技術(shù)
2.1我如何才能檢測網(wǎng)內(nèi)是否存在有嗅探程序?
理論上����,嗅探程序是不可能被檢測出來的,因為嗅探程序是一種被動的接收程序���,屬于被動觸發(fā)的���,它只會收集數(shù)據(jù)包���,而不發(fā)送出任何數(shù)據(jù),盡管如此�����,嗅探程序有時候還是能夠被檢測出來的�����。
一個嗅探程序�,不會發(fā)送任何數(shù)據(jù),但是當它安裝在一臺正常的局域網(wǎng)內(nèi)的計算機上的時候會產(chǎn)生一些數(shù)據(jù)流��。舉個例子�,它能發(fā)出一個請求,始DNS根據(jù)IP地址進行反相序列查找����。
下面一種簡單的檢測方法:
ping 方法
很多的嗅探器程序,如果你發(fā)送一個請求給哪臺有嗅探程序的機器��,它將作出應(yīng)答
說明:
1. 懷疑IP地址為10.0.0.1的機器裝有嗅探程序�,它的MAC地址確定為00-40-05-A4-79-32.
2. 確保機器是在這個局域網(wǎng)中間。
3. 現(xiàn)在修改MAC地址為00-40-05-A4-79-33.
4. 現(xiàn)在用ping命令ping這個IP地址。
5. 沒有任何人能夠看到發(fā)送的數(shù)據(jù)包����,因為每臺計算機的MAC地址無法與這個數(shù)據(jù)包中的目地MAC不符,所以�,這個包應(yīng)該會被丟棄。
6. 如果你看到了應(yīng)答���,說明這個MAC包沒有被丟棄���,也就是說����,很有可能有嗅探器存在。
現(xiàn)在�����,這種方法已經(jīng)得到了廣泛的推崇和宣揚����,新一代的黑客們也學(xué)會了在他們的代碼中加入虛擬的MAC地址過濾器很多的計算機操作系統(tǒng)(比如Windows)都支持MAC過濾器(很多過慮器只檢查MAC的第一個字節(jié)�����,這樣一來,MAC地址FF-00-00-00-00-00和FF-FF-FF-FF-FF-FF就沒有區(qū)別了���。(廣播地址消息會被所有的計算機所接收)�。這種技術(shù)通常會用在交換模型的以太網(wǎng)中�。當交換機發(fā)現(xiàn)一個未知的MAC地址的時候,它會執(zhí)行類似“flood”的操作�����,把這個包發(fā)送給每個節(jié)點����。
[page_break]2.2本機嗅探程序的檢測
本機嗅探的程序檢測方法比較簡單,只要檢查一下網(wǎng)卡是否處于混雜模式就可以了�,在Linux下,這個比較容易實現(xiàn)��,而在Windows平臺上���,并沒有現(xiàn)成的函數(shù)可供我們實現(xiàn)這個功能,我們來用一點小技巧:
#include
#define MAX_PACK_LEN 65535
#define MAX_HOSTNAME_LAN 255
#pragma comment (lib , "ws2_32.lib")
int main()
{
SOCKET SockRaw,Sock;
WSADATA wsaData;
int ret=0;
struct sockaddr_in sAddr,addr;
char RecvBuf[MAX_PACK_LEN];
char FAR name[MAX_HOSTNAME_LAN];
struct hostent FAR * pHostent;
char *Buf=(char *)malloc(128);
int settimeout=1000;//這里我們設(shè)置了一秒鐘超時
printf("UNSniffer for Win2k v1.0\nPower by BigBall\nHomePage:http:\/\/www.patching.net\/liumy\nEmail:liumy@patching.net\nOicq:9388920\n\nChecking your system ,wait a moment please...\n");
WSAStartup(MAKEWORD(2,2),&wsaData);
//建立一條RawSocket
SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);
再建立一條UDP
Sock=socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP);
memset(&sAddr,0,sizeof(sAddr));
memset(&addr,0,sizeof(addr));
sAddr.sin_family=AF_INET;
sAddr.sin_port=htons(5257);
addr.sin_family=AF_INET;
addr.sin_port=htons(5258);
//把IP地址指向本機
addr.sin_addr.S_un.S_addr=inet_addr("127.0.0.1");
memset(RecvBuf,0, sizeof(RecvBuf));
pHostent=malloc(sizeof(struct hostent));
gethostname(name, MAX_HOSTNAME_LAN);
pHostent=gethostbyname(name);
//取得自己的IP地址
memcpy(&sAddr.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);
free(pHostent);
//綁定一個本機的接收端口
bind(SockRaw, (struct sockaddr *)&sAddr, sizeof(sAddr));
//虛連接到本機的一個未打開的端口
connect(Sock,(struct sockaddr *)&addr,sizeof(addr));
Buf="1234567890!@#$%^&*";
//設(shè)置超時
setsockopt(SockRaw,SOL_SOCKET,SO_RCVTIMEO,(char *)&settimeout,sizeof(int));
//向虛連接端口發(fā)送一個數(shù)據(jù)包
send(Sock,Buf,strlen(Buf),0);
//使用SockRaw嘗試接收這個數(shù)據(jù)包
ret=recv(SockRaw,RecvBuf,sizeof(RecvBuf),0);
if(ret==SOCKET_ERROR || ret==0)
printf("No found any sniffer in your system!\n");
else
{
//進行ChkSum
if(Buf=="1234567890!@#$%^&*")
printf("Warning!!! Found sniffer!!!\n");
}
closesocket(Sock);
closesocket(SockRaw);
free(pHostent);
free(Buf);
WSACleanup();
return 0;
}
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中�����,正因如此�����,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上��、軟件上����、所用標準上......,各項技術(shù)都需要適時應(yīng)勢�����,對應(yīng)發(fā)展����,這正是網(wǎng)絡(luò)迅速走向進步的催化劑�����。
|
